Publié le : 03/09/2024
Début septembre 2024, un malware nommé « Voldemort » a été identifié en France, se faisant passer pour la Direction Générale des Finances Publiques. Conçu pour voler des données sensibles, ce logiciel malveillant fait partie d'une campagne de cyberespionnage attribuée à un groupe soutenu par un gouvernement.
Repéré pour la première fois au début du mois d'août 2024, ce malware a été baptisé « Voldemort » par ses créateurs, en référence au célèbre antagoniste de la série Harry Potter. Il s'attaque aux utilisateurs en usurpant l'identité des autorités fiscales de plusieurs pays, notamment en Europe, en Asie et aux États-Unis. Depuis le lancement de l'attaque, plus de 70 institutions ont été visées, avec un nombre de messages frauduleux envoyés en forte hausse, atteignant 6 000 courriels en une seule journée.
En France, les cybercriminels se font passer pour la Direction Générale des Finances Publiques en envoyant des emails qui semblent provenir de cette administration. Ces courriels incitent les destinataires à mettre à jour leurs « informations fiscales », ce qui les pousse à télécharger une pièce jointe contenant le malware. Ce fichier tire parti du protocole « search-ms: », intégré à Windows, pour installer le logiciel malveillant sur l'ordinateur de la victime. Ce protocole, détourné à des fins malveillantes, permet de rechercher et d’exploiter des fichiers présents sur l’ordinateur ciblé.
Plutôt que d’utiliser des serveurs classiques pour contrôler les machines infectées, les pirates exploitent Google Sheets, un service de tableur en ligne, pour communiquer avec les appareils compromis. Une fois le malware installé, celui-ci se connecte à Google Sheets pour recevoir ses instructions. Cette méthode, inhabituelle, permet au logiciel de parcourir les fichiers du système, d’exécuter des commandes spécifiques et de transférer des données sensibles.
Les investigations ont révélé que ce malware vise principalement des entreprises des secteurs de l’assurance, de l’aérospatiale, des transports, et de l’éducation. L’ampleur et la nature des attaques suggèrent qu’elles sont orchestrées par un groupe de pirates financés par un gouvernement, bien que l'identité précise de ce groupe reste à confirmer. Par le passé, des groupes similaires ont été connus pour utiliser des méthodes comparables, notamment en détournant des outils légitimes comme Google Sheets pour mener des cyberattaques.
L’émergence du malware « Voldemort » souligne la sophistication croissante des cyberattaques modernes. Les techniques employées, comme l’utilisation de services légitimes pour des fins malveillantes, compliquent la détection et la prévention de ces menaces. La vigilance et la mise en place de mesures de sécurité adaptées restent essentielles pour protéger les données sensibles contre de telles attaques.
